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Die f olgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

® Verfahren zum Betreiben eines zur Ausfuhrung von nachladbaren Funktionsprogrammen ausgebildeten 
Datentragers 

(g) Vorgeschlagen wird ein Verfahren zum Betreiben eines 
zur Ausfuhrung von nachladbaren Funktionsprogram- 
men ausgebildeten tragbaren Datentragers. Verfahrens- 
gemaft wird dabei auf dem Datentragerzunachst eine La- 
de rschnittste lie install iert, welche das Nachladen von La- 
deapplikationen gestattet, die ihrerseits dann das Laden 
von Funktionsprogrammen ermoglichen. Jeder Ladeapp- 
likation wird ein nicht veranderbarer VerfugungsadreS- 
raum zugeteilt. Vorgeschlagen wird weiter ein Verfahren 
zur Vorwaltung eines zugeteilten VerfugungsadreSrau- 
mes. Zu nachzuladenen Anwendungsprogrammen wer- 
den danach Ausweise erstellt, welche eine Information 
uber die GrolSe des fiir das Anwendungsprogramm beno- 
tigten Speicherplatzes enthalten. Entsprechend der auf 
» den Ausweisen angelegten GroSeninformation wird 
I nachzuladenen Anwendungsprogrammen Adref^raum in 
der Speichereinrichtung zugeteilt. Weiterhin werden zu 
den Verfahren entsprechende Datentrager offenbart. 
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Beschreibung 



granundaien UberprUft. Sodann werden die Programnidaien 

Stlich ihrer Synmx /eUen^TyP^^^^^^^^^^ 

'ft Wird bei einem dieser Pruiscnnue eine un - 

Die Erfindung gehl aus von einem Verfahren nach der ^^"Jl^g^" l^;^^^;,,^^,^^^ ^errien die zusat.lich geladenen 

Gattung des Hauptanspruchs. . „ verworfen und im Speicher geloschi. Das bekanme 

Datentrager in Form von Chipkarten werden m emer zu- ^ D^'f "J^"^^^^ ^-^ kontroUiertes Nachladen von Anwen- 

nehmenden Vielfalt von Anwendungsbere.chen «ngese^ ^^^^ -^^^ Karte an den Endanwende. 

Besonders verbreitet sind Karten gemaB der Nonn ^"S^ jaB ein Kartenausgeber. der eine 

ISO 7810, die aus einem Kunststofflrager bestehe^n in den ffJ^^S verfiigbarem, freiem Speicherplatz etwa an 

dne integriene Halbleiterschaltung sowre ^^^^^ ^„ 2rfSlbieterabgibt,selbstberei..dieIdennfit^ 

zum HersteUen elektfischer Verbindungen mit emem en^ T^^J^'^ Diensteanbieters kennen muB.die spateremmal 

sprechenden Lesegeral eingebrach. s.nd. ^J j-"^^ ^rLC^^n soUen. einem Endnutzer Anwendungen zum 

wurde auch. den Karientrager ^"/^'^^'"^"'.^l^^'/^l JSLien anzubieten. Das kann dadurch geschehen d^ 
/.ulassen,undstaUdessenbeispielsweiseemEmchit^\bkro- J^^^JJ^^ terbestimmteoffenaicheS.gnaturschlussel 

controller in Armbanduhren, Schmuckstucke, laeidungs- ™ J^ietem zertifiziert, urn durch mnterlegung 

siucke Oder andere Gebrauchsgegenstande emzubauen^ Der ^J^'^" offentlichen SignaturschlOssels, etwa in der 

Bcgriff "Chipkarte" soU sich daher auf ^^-/^^^^^^ S-SederChipkarte, dnetiberprUfungder Authenu- 

/.ukannigcniransponablen(Klein-X3egensmndeersir^Len^ SrnachgcladcncrDatcnlcistcnzuk5nnc„.EinKartcn^^^ 

in wclchc cin Mikrocon«,Ucr '^"^f^^'^ZZ^he X hat bei dem bekannten System aUerdings keine Mog- 

Ucsiucr ock-T Inhaber zu ermoghchen, ^hipkartentypische gebei^ Aulhentizitat und die syntaktische Kor- 

ln,crak.ioncn n.i. cn.sprcchenden daf Ur vojgesehenen fo^- 20 ^'^htoU ube ^ oiensteanbietem belegte Spei- 

ak.ionss,a.ioncnvor/,unchn>en.'I\p.scheaipk~wen- einereinzelnenCW 

.lun.cn sind die Krcdiikar.c. die tJeldkarte. die Krankenver- «he^°'^^ y ^ ^ie Aufgabe zugrunde, ein Verfahren 

sichcrungskano odcr die lelcronkarte. Un^er "An*rS^| ^u^Einbringen einer zusatzlichen Anwendung auf eine 

w,at dahci die Gcsam.hoi. allcr Daten. Befehle. AJlaufe ^^'f^^^ .^^ie eine Chipkarte anzug^^ 

/.uMundc. McchanisM,cr> und Algonihn.en inneAa^b e.^^^ ^ tenKhteiledes Standes der Technik vermeiden 

Chipkanc vcrslandcn. die crfordcrl.ch stnd, um erne Chip- ^ erfindungsgemaB gel6st durch ein 

kanc in. Rahn.cn cincs Sy..cn>s. beispielswe.se eines Kre- ^Diese^ ^ angegebenen Merkmalen 

diikaricn/ahlungssysicm. zu beirciben. Chipkarte mil den Merkmalen des unab- 

fJblichcrwcisc enisprich. jedcr Anwendung ^'g^"^ Anspruchs 4. Die Aufgabe wird ebenfaUs gelost 

(•hipkancundlicfcrijedcncucAnwendungsowieje^^^^ 30 hW P ^ Anspruch 8 angegebenen 

date ciner bes.chenden Anwendung *entaUs me .«ue jurch eine Chipkarte mit den Mertaal^ 

C-hipkanc. Grundsaalich wunschenswert «t desha^b eine J^^'^ . ^ jo. Die Gegenstande der Pa- 

Chijkanc. die fur cine V.elzahl von Anwendu'^^' d^^^"*^^,| f „„d4 einerseits sowie 8 12 anderers^^ 

sch cdlicher Dicns.canbicicr und unte«ch.edhcher B^i P j^^dige erfinderische Bedeutung, die 

ber von Kancnsystemen, -%l^'»''r3ruT S vSZ^gemaB den Anspriichen 1 und 8 sowie die Gegen- 

Bankcn. Vcrsichcrungen. TelefongeseUschaften usw.. ge J^T^^^er Inspriiche 4 und 12 lassen sich aber auch verbm- 

""liinc DtcioJ^isaiion fur eine solche fur ^ehrere An- den. Verfahren gemaB Anspruch 1 und 

wcndungen gceigneien Chipkarte ist aus Ranldffiffing J^^^ Verfateen gemaB Anspruch 8 erlauben es etnem 

-Ilandbuch der Chipkarten", Carl "'"'f . '''S^jranisatl Stenherausgeber in vorteilhafter Weise e.nem Anwender 

piicl 5.6. cnmchmbar. Die darin beschnebene O^anisati J^^" „^|j,tige, nachtrSgliche Enbringen von Funku- 

o ssTuktur bcruh. auf der ISO/ ffiC-Norm 7816-4 An d« ^^J^^en^^.^ f„'eine Karte zu gestatten. Der ^naus- 

Spii/.- der Daicistruktur s.ehl dabei ein "Masterfile das d^e °nspr° r ^^^^^ Anwender 

Verzeichnissc aller anderen auf der Chip^e v^h^e^t^ SSD^nL nLtereineEriaubniszumNac^^^^^^ 

Daicicn enthali. Den, Mastermes.nd«n Oder n^^re De auf bestimmte Chipkarten eriid- 

dica.ed Files" nachgeordnei. welche die Da^n^ma, von in ^Uhcn ^^^^^^ ^^^^ Anwendung ist vielmeh^ 

Gruppcn zusammengefaBtcn, insbesondere die X" moglich, wenn die Chipkarte bere.ts ausgegeben 

wcndung gehorenden Da.eien enthalien Jedem Dedica^ ?^ld Tich im Besitz des Anwenders befindet. Das Verfah- 

Filc sind schUeBlich ein oder "-^hre^. 50 Sgne'««=hdeshalb insbesondere dafur, eine vertraghche 

unlc,Seordnel,indenendieNutzdatene,nerAnwendungh^^^ » „ ^^^gbarer Rechte an Speichenressourcen 

gen. Als.echnischmoglich,aberausGrundenderS^^^^^ SkLen an DriUe durch einen Chipkartenausgeber 

Sir r Tas^^;^ahren gew^leistet dabei einen hohen Sicher- 

MaBnahmezurtJberwiridungderSich^heitsbedenk^^^^^^ hetetaSd. GemSB Anspruch 1 wild er erteicht, indem 

weis. sie auf die Einrichlung emer "M^'"";^ ^^anagm^^ 'utnNachladen von Anwendungsfunkdonsprogr^en be- 

Unif, welche auszufuhrenden Programmcode auf Einhal ^ LadeappUkaiionen nur iibereine vom &«tenhe^- 

lungderzugewiesenenGrenzenuberwacht. .ucoeber auf der Karte eingerichtete Haupttaderschmttstelle 

AUS der Druckschrift WO-Al-98/09257 sind em Sy^em ^^8^^™ ,,,,ht werden konnen. Mittels der Haupfla- 

und ein Verfahren zum Laden von Anwendungen aufeme i333en sich vorteilhaft insbesondere die phy- 

Chipkane bekannt, die es erlauben, zusatzhch zu den Iteten 60 d^J"^^ ^er logische Wirkungsbereich ernes 

tJrdts geladener Anwendungen Programm- und Anwen- J^funktionsptogrammes genau defimeren. D^ 

dungsd^n weiterer Anwendungen in erne Chipkarte zu "^^^ MogUchkeit zum Nachladen von Funku- 

Jii-DabeisindVorkehrungenaufderGrund^^^^^ onJ^^r^en verfinfacht in vorteilhafter Weise zudem 
neter kryptogtaphiscber Tbchniken geiroffen word^^^^ 
Le vX^n^B^^ug^^dcrd^ Nachladcn v^^^^^^ 

ten betreibenden Stelk g«»at,en. Nachdem die Da^n daB der Kartenherausgeber das Nfolumen desSpeichetpM- 

zusatzlichen Anwendung in den Speicher der <rh^Pjane ge oaB ^^^^ ^ Anwendem fUr nach- 
langt sind, wird die Authentizita der dazugehongen no- 
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ladbare Anwendungen zur Verfugung siehen soli. Das Aus- 
weissystem bietet desweiteren die Moglichkeil zur Einrich- 
tung eines anwendungsbezogenen Kostensystems. Bei- 
spielsweise kann vorgesehen sein, einen Anwender oder 
Diensteanbieter in dem Ma6e an den Gesamtkosten einer 5 
Chipkarte zu beteiligen, in dem er die Speichereinrichtung 
der Chipkarten belegl. 

Vorteilhafte Weiterbildungen und zweckmaBige Ausge- 
staltungen des vorgeschlagenen Verfahrens bzw. der vorge- 
schlagenen Chipkarte sind den abhangigen Anspriichen ent- lO 
nehmbar. 

Die Edindung wird im folgenden unter Bezugnahme auf 
die Zeichnung anhand eines Ausfiihrungsbeispieles exem- 
plarisch und in nicht beschrankender Weise naher erlautert. 

In der Zeichnung zeigen 15 
Fig. 1 den strukturellen Aufbau einer Mikroprozessor- 
chipkarte. 

Fig. 2 schcmatisch die Bclcgung der Speichereinrichtung 
einer Chipkarte mit einem Hauptlader, 

Fig. 3 die Belegung der Speichereinrichtung nach dem 20 
Laden eines Spezialladers^ 

Fig. 4 eine schematische Darstellung der hi»'archischen 
Sirukiur aus einem Hauptlader und mehreren Spezialladem. 

Fig. 1 zeigl den typischen Aufbau einer mit einem Mikro- 
proixssor ausgeruslelen Chipkarte 10. Haupleleinenl bildeL 25 
cine /.cntraie Prozessoreinheit 20, welche der Chipkarte 10 
durch Ausfiihrung von Funktionsprogrammen ihre Funktio 
naliiai verleiht. Der Prozessoreinheit 20 ist eine aus drei 
Speichcrschaltungen 30, 40, 50 aufgebaute Speichereinrich- 
tung 320 zugeordnet. Dabei repraseniiert die Speicherschal- 30 
tung 30 einen maskenprogrammierten Nur-Lese-Speicher- 
Speicher (ROM), worin sich insbesondere das Betriebssy- 
stem der zentralen Prozessoreinheit 20 befindel, die Spei- 
chcrschaliung 50 einen eleklrisch loschbaren Nur-Lese- 
Speichcr 50 (EEPROM) zur Aufnahme der Programmcodes 35 
von Funktionsprogrammen sowie von durch die zentrale 
Prozessoreinheit 20 benutzten Daten, die Speicherschaltung 
40 einen, in der Regel fliichtigen, Schreib-Lese-Speicher 40 
(RAM) zur Nutzung als Arbeitsspeicher bei der Ausfiihrung 
eines Funktionsprogrammes. Eine Kartenfunktionalitat er- 40 
gibt sich aus der Gesamtheit der in den Speicherschaltungen 
30, 40, 50 enthaltenen Programmcodes bzw. Daten. Die 
Speicherschaltungen 30, 40, SO konnen dabei, falls dies 
technisch notwendig oder zweckmaBig ist, ubergreifend ge- 
nutzt werden, etwa indem bestimmte SpeicheradreBbereiche 45 
im EEPROM fur Programmdaten des Betriebssystems be- 
nutzt werden oder SpeicheradreBbereiche im ROM mit An- 
wendungsdaten belegt sind. Aus diesem Grund werden die 
Speicherschaltungen 30, 40, 50 nachfolgend stets gesamt- 
heitlich als Speichereinrichtung HO aufgefafit. Zum Aus- so 
tausch von Daten mit extemen Einrichtungen besitzt die 
Kane 10 desweiteren eine Datenschnittstelle 60, die eben- 
falls mil der zentralen Prozessoreinheit 20 verbunden ist. 
Eine typische Anwendung der gezeigten Karte 10 bildet die 
Austuhrung elektronischer Zahiungsvoigange. Eine detail- 55 
liene Beschreibung der in Fig. 1 dargestellten Chipkarte fin- 
det sich im ubrigen z. B. in Rankl/Efftng, "Handbuch der 
Chipkarten", Carl Hanser Verlag, 1996, Kapitel 2.3. 

Eine erste Ausgestaltung der Erfindung beruht auf dem 
Konzept, das Einbringen von Ladeapplikationen, welche ih- 60 
rerseits Anwendungsfunktionsprogramme laden kdnnen. 
auf eine Karte zuzulassen, die Einrichtung der Ladeapphka- 
tionen selbst dabei aber ausschUeBlich einer speziellen La- 
derschnitistelle zu gesiaiten. Fig. 2 veranschaulicht schema- 
tisch die Bclcgung der Speichereinrichtung 110 einer Chip- 65 
karte, welche zunachst nur den Programmcode eines einzel- 
nen Funktionsprogrammes 120 umfaBt, das eine erste hader- 
schnittstelle 120 definiert. Die Laderschnittstelle 120 ist 
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speziell dazu ausgebildei, Funktionsprograimne in die Spei- 
chereinrichtung 110 nachzuladen, die Ladeapplikationen 
realisieren, d. h. die ihrerseits Ladefunktionalitat besitzen 
und das Nachladen von Anwendungsfiinkrionsprogrammen 
ermoglichen. Die Laderschnittstelle 120 bildet zweckmaBig 
eine Grundausstattung einer Chipkarte und wird vom Kar- 
tenherausgeber oder Kartenhersteller auf die Karte gebracht. 
Die im folgenden als Hauptlader (HL) bezeichnete Lader- 
schnittstelle 120 belegt einen Teil des gesamten in der Spei- 
chereinrichtung 110 zur Verfugung stehenden Speicherbe- 
leiches. Ein anderer Teil des Gesamtspeicherbereiches ist 
zunachst nicht mit Daten belegt und steht als Freispeicher 
130 fur noch zu ladende weitere Funktionsprogramme zur 
Verfugung. Die Verwaltung des gesamten Freispeichers 130 
erfolgt zunachst durch den Haupdader 120. Er steuerl insbe- 
sondere das Laden des Programmcodes des ersten nachzula- 
denden Funktionsprogrammes in den Freispeicher 130. Der 
Bytccodc des ersten wic auch allcr wcitcrcn nachgcladcn- 
enen Funktionsprogramme wird in Form geeigneter elektri- 
scher Signale iiber die Datenschnittstelle 60 ubermittelt. 

Der Hauptlader 120 ladt bevorzugt nur seiche Funktions- 
programme in die Speichereinrichtung 110, die definierte 
Sicherheitsvoraussetzungen erfullen. Beim Laden priift er 
dazu vorzugs weise Integritat und Authentizilat einer zu la- 
denden Ladeapplikation durch Priifung, ob der zuiii Laden 
anstehende Programmcode unverandert in einer vom Her- 
steller gebilligten Form vorliegt, oder ob der Hersteller einer 
Ladeapplikation tatsachlich zum Einbringen der Ladeappli- 
kation befugt ist, indem er zum Beispiel vom Kartenausge- 
ber ein Recht zur Nutzung von Chipkarten-Ressourcen er- 
worben hat. 

Fig. 3 zeigl die Speicheranordnung aus Fig. 2, wobei der 
Hauptlader 120 jetzt ein erstes, eine Ladeapplikation reali- 
sierendes Funktionsprogranmi 210 in den Freispeicher 130 
geladen hat. Die Ladeapplikation 210 definiert eine zweite, 
im folgenden als Speziallader210 (DL) bezeichnete Schnitt- 
stelle. Sie erlaubt es, nachfolgend weitere Funktionspro- 
gramme in die Speichereinrichtung 110 zu bringen. Dafiir 
steht ihr jedoch nur ein definierter, nicht erweiterbarer Ver- 
fiigungsadreBraum 220 bereit. Der VerfugungsadreBraum 
220 wird dem Speaallader 210 vom Hauptlader 120 beim 
Laden des Spezialladers 210 zugeteilt. Mit Zuteilung geht 
dabei die Verwaltung des VerfugungsadreBraumes 220 voll- 
standig an den Speziallader 210 uber. Der Hauptlader 120 
hat auf die weitere Nutzung des dem Speziallader 210 zuge- 
ordneten VerfugungsadreBraumes 220 keinen EinfluB und 
keine Zugriflfsmoglichkeit mehr. Weilerhin unter Verwal- 
tung des Haupdaders verbleibt der noch nicht belegte, durch 
Ubernahme des Spezialladers 210 und Zuteilung des Verfu* 
gungsadreBraumes 220 in separate Abschnitte 130a, 130b 
fragmentierte Teil des FreispeicheradieBraumes. 

Das Laden eines Spezialladers 210 kann, im Unterschied 
zum Haupdader 120, durch den Anwender einer Karte erfol- 
gen. Der Speziallader 210 ermoglicht es und ist Vorausset- 
zung dafiir, daB der Anwender nachfolgend Anwendungen 
lealisierende Funktionsprogranmie nach eigener Wahl in 
den VerfugungsadreBraum 220 laden kann. Bei der Uber- 
nahme neuer Funktionsprogramme in den VerfugungsadreB- 
raum 220 stellt der Speziallader 210 sicher, daB der Pro- 
grammcode eines geladenen Funktionsprogranunes keines- 
falls auf auBerhalb des VerfugungsadreBraumes 220 liegen- 
den Datencode zugreifen kann. Der einem Speziallader 210 
zugeteilte VerfugungsadreBraum 220 kann dabei schon beim 
Laden durch den Hauptlader 120 mit Sicherungen versehen 
wordcn scin, die cincn physikaHschcn oder logischcn Zu- 
griff auf auBerhalb des VerfugungsadreBraumes 220 lie- 
gende Teilbereiche der Speichereinrichtung 110 verhindem. 
Die Aufteilung des VerfugungsadreBraumes 220 auf nach- 
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n 711 heliebieen Zeitpunkten und in beliebiger Rei- 
geladene Funkuonsprogramme erfolgi durch den SpeziaUa- ^^^f ^^^^^^^^^^^ f„ r.g. 4 isi jedes nachgeladene Funk- , 
Lr 210 Einem Funktionsprogramm 230 zur Reahsierung jja 311 320. 321, 322, 330 enlsprechend 

ein Teilbereich 231 des VerfiigungsadreBraumes 220 7.uge- _ '^^^^^^ ^.^ Funktionsprogramme 310. 311, 320, 321, 
wiesen worden sein. . _ „ ... 122 330 konnen, wenn das beim Laden durch (he jeweiis 

In einer besonders fur eine Uberlassung von Spe.cherbe- 322. ^30 kon ^ ^^^^^ ^10 zugelassen wurde, aufein- 
reich an Dritte gunsdgen A^^P^g^^g/V^'^Srich Tder zugreifen ^r miteinander verbunden werden. to 
schriebenen Struktur is. die B«'^i«"8 d^^^P^^S""^; BeSie "d r F.g. 4 kann etwa das Funktionsprogramm 330 
tungllO,wieinFig.4gezeigt,hierarchischstiuktutieit tt^ fLf^e Funkuonsprogramme 321 oder 310 zugre.fcn, um 
angiieut<^eBaumstrukturveranschauhchtdabeid.cze.d- 10 ^f^'^J^^"'^ p^^duren selbst zu verwenden. 

Che Abfolge des Einbringens der unlersch.edbchen Funto - ^ Verbindungsmoglichkeit hal das Funk- 

onsprograLne. Im Minimalzustand rsi d.e Karte n"r m,i «^ S'oJSm. 330 andercrseits bezugUch der Funkuons- 
„emHaupUaderl20ausgesiattet,erbUdeizu^^^^^^ SS^L -^^^^ "P^^"" ^ Funkuonsprc. 

tSlTI^'!^"^^^'^^^^ r~330gespernoder320,diesesistfUraUeFrernd.u- 
210a 210b. 210c sowie von aUgemeinen Funktionen bzw. g^^^g^^ntar zum Laden neuer Funktionsprogm 
Kan;ngrundfunktionen tealisierenden F"nk"° W-^; ^uS HaupUadcr 120 odcr cinen Spczialladcr 210 .st 
men 240. BcfindcC sich ein Haupdador 120 -"cr Karte ^u^c^ d ^P^^ ^^^^^ Spe.che^m- 
konnen SpeziaUader 210 und F"n'S°«^P~/™%^"" 30 richtung 110 vorhandenen Funktionsprogrammen 120, 240, 
beUebigen Zeitpunkten uber den ^'^f^-^^l^f^^^ mogUch. Die Berechtigung zum I^schen wird je- 

werden, sie sind in der Baumslrutor der F.fr3^^ als 310^^ ^^^^ Funkuonsprogrammes durch den 

vom Haupdader ausgehende. paraUele Pfade da^^^"" J^J^^ jjO, 210 eingerichlet. Das Loschen eines SpeziaUa- 

Alle neu geladenen Funktionsprogramme 120, 240 wer tacKr 1 , 6 ^.^^ .^^^ zugeteilten 

den beim L^n durch den Hauptlader ^"l^'g^^ SiungS^al 2M kein Funkuonsprogratum mehr 

und Sicherheit gepriift. Nur posiuv g^Pr"^"; ^""''^'""^P'?^ Der Haupdader 120 kann nicht geloscht werden. 

gramme werden geladen. Geladenen SP^-'^U^J^^ f"^'.^' ' SneMaBnahme. welche eine risikoarme Uberlassung 
c teilt der Haupdader 120 in der Sf •cheretnnchtung 110 je- ^^,^„3 i^herraum an Dritte vorteilhaft unter- 

weils einen unverrUckbar lagedefin.erten durch der, zuge- '^^^ ^ Ausweissystemsfurdiepurch- 
horigen SpeziaUader 210 nicht enveiterb^n Wng^" ^^^'X SpeicheLumzuteilung durch Haupdader 120 
adreBraum 220 zu. Das den ^P^^'^^'' ^^^^'^ uil SpeziaUader 210a, 210b, 210c. Die Ausweise ha- 
Funktionsprogramm kann dabe, ^f<^f^Zvi^- S^n Sbei die Gestali einer digitalen Information. Ste wer- 
des benotigten VerfugungsadreBraumes 220 f^^^^ 5^" Lem zu ladenden Funktionsprogranmi 210 beigegeben 
i.at der Haupdader 120 keine ^-^Ben.nformaUonen te.U er den em ^^^^^^^^ ^i„e Angabe uber die GroBe 

einen Sund^dverfugungsadreBraum zu. Bejm I^d«, von be^ VerfugungsadreBraumes 220. Der Lader 

Funktionsprogrammen 210. 240 sieUt d" Haup^lacfer IM 3., ^^^^i^^jeineraAusweisvetsehenesFunk- 
sicher, daB die VerfugungsadreBraume 220 ve^chtedene J^'^^^ i3den werden soU, muB zur Auswertung 
SpeziaUader 210 logisch und phystkaltsch sueng getrennt J^"^^^ ^ gin Ausweissystem kann fur alle 

si^duruleinZugriffeinesSpezialladers210au^^^^^^^ SfrirzlOein^Kam oder auch nur fiireinzelne ange- 

gungsadreBtaum 220 eines ^nderen SpeziaUade^ 210 mc^^ ^ hieraichische Laderstrukiur wie m F.g. 3 

LgUch ist. Nach Laden ""d VerfugungsadreBm«^ nchtj , voraussetzung fur seine Ennchtung.p.e 
lung geht die KontroUe uber den jeweiUgen yerfug"ngs- gez«g^ Chipkartenherausgeber oder dem 

adrlfiLm 220 jeweils voUstandig ";^^-"^^f>>>f ^'"^ eTnes Laders 120, 210 generiert Von jenenj mQs- 

. den zugehorigen SpeziaUader 210a, 210b, 210c uber _ Hers^"^ ^.^ ^.^^ Speichereinrichtung 110 zu 
Jeder SpeziaUader 210 kann nun in den J^^eds zugeted «n s^e ^^^^ ^^orben werden. Der 

ten VerfGgungsadreBraum 220 v^tere Funtao^^^^^ 

grammeladen, insbesondere Funkuonsprogramme. AeKar ^ ^^^^^ ^ader 120/210 zugeordneten 

Lanwendungen realisieren, ^^^a kryp ograpta^he Schte ^^^^^^ i„formiert Indem er neu zu laden- 

sel Oder Verfahren zu sicheren ^urchfuhning yon F^^^^^ dS^L»lonsprogrammen nur den unbedingt notwemgen 
transakuonen. Den zu einem zu l-l^^^^^J^jl^^tr 50 A^Braum zuV«UU kann er dabei miuels emer entspre- 
gramm gehSienden Bytecode unterwiA der Spez^ade A ^ ^em Ausweis eine besonders spe.- 

llO beim Laden ^^^'^ ^"'^^^^2^. cht^latzssparende Nutzung eines zugeteilten Verfugungs- 
fung.DesweitetenlegtderSpeziaUad5210bemI^e^^^^ adreBraumes sichersteUen. _ • ^ v 

nes FunktionsprogrammesdessennwghcteZugnff^^^^ Neben einer reinen GroBeninformation kann ein Ausweis 

und Verbindungsmoglichketten m B^^'g;"^ 5, ^eitere Informadonen enthaiten, etwa Infonnationen, wel- 

Speichereinrichtung UO bereits vorhaiidene F"/'™'"^^^ * ^ <ier Audiendziat eines Ausweises ermfagh- 

glmrnne fest. Dabei kann er insbesondere ^J;„ Echdieit und Faischungssicherheit eines Ausw«ses 

kungen einrichten, welche beispielsweise den Zugnff au^ cne^ vorzugsweise durch krypiographische Ver- 

odef die Verbindung eines neugeladenen F"n^««?P^^ Sn gewahrleistet. Die Informationen aut emem Ausweis 
granunesmiteinembereitsvorhandenenodernochnachlad- ^ Jjj^°e^. ^,,,,hlusselt, der Ausweis enthalientsprechend 

barenFunkuonsprogrammverhindem. hasnielswase einen InitiaUsierungsschlussel, welcheres ei- 

ImAusfuhrungsbeispielderFig.4habenderSpez.aUade ^J^^^* en Lader erlaubt, einen Schlussel zum Usen 

210a zwei Funktionsprogramme 310. 311. der ^P^^^U^fer ^J^"^^ abzuleiten.ZwecknmBigendiaLtein Ausweis 

210b drei Funktionsprogramme 320. 321, 322, ^ i>^^_ J^Se Lyptographisch .eaUsierte digitale Signatur Zur 

lader 210c ein weiieres Funktionsprogramti. 330 gepruft, l-^^'hTrung^dcr V^J^walUing komKn auf einem Ausweis 

zugcIasscnundindcnjewcikzugetciUcnyerfugungsad^B- 6> ™J™ j^^^ise die Bezeichnung eines Funku- 

raum220geladen.DasNachladenderFunkUonstKog~e deswe^^^n^^^ P,i^ Anwendungskennung, em Datum, 

310. 311, 320. 321. 322, 330tamn. wenn der b^noUgte « f ^geleg. sein. MogUch ist weiterhin die Einnchtung 

ziaUader 210 auf der Karte voihanden isU durch den Spezi- o. a. angeieg 
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von Informationen, welche dieNuizbarkeit eines Funktions- 
programmes beschranken; beispielsweise kann die zeitliche 
Nutzbarkeit einer Anwendung beschrankt werden, oder es 
konnen Kennungen von Karten angegeben sein, welche al- 
leine zur Nutzung eines Funktionsprogrammes beiechtigt 5 
sind. 

Patentanspniche 

1 . Verfahren zum Betreiben eines mit einer Datenuber- 10 
tragungseinrichtung, einer Speichereinrichtung sowie 
einer Programmausfuhrungseinheit zur Ausfuhrung 
von in der Speichereinrichtung enthaltenen Funktions- 
progranunen ausgestatteten Datentragers mil folgen- 
den Schritten: 15 

- Installieren eines eine Laderschnittstelle (120) 
zum Nachladen weiterer Ladeapplikaiionen (210) 
rcalisicrcndcn Funktionsprogranmics in dcr Spei- 
chereinrichtung (110) des Datentragers, 

- Bereitsteilen eines verfiigbaren Freispeicher- 20 
raumes (130) in der Speichereinrichtung (110) fur 
die Laderschnittstelle, 

- Nachladen mindestens einer Ladeapplikation 
(210) uber die Dateniibertragungseinrichtung (60) 

in die Speichereinrichtung (110) unter KonLroUe 25 
der Laderschnittstelle, wobei der Ladeapplikation 
(210) ein Teil des Freispeicherraums (130) als 
VerfiigungsadreBraum (220) zugeteilt wird, 

2. Verfahren nach Anspruch 1, gekennzeichnet durch 
folgenden weiteren Schritt: 30 
Nachladen mindestens eines Anwendungsprogrammes 
(230) uber die Datenubertragungseinrichiung (60) 
durch die Programmausfuhrungseinheit unter der Ko.-> 
trolle der Ladeapplikation (210) in den dieser zugeteil- 
ten VerfiigungsadreBraum (220). 35 

3. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB die Laderschnittstelle (120) die KonU-olle uber 
einen einer Ladeapplikation (210) zugewiesenen Ver- 
fugungsadreBraum (220) an die Ladeapplikation (210) 
abgibt. 40 

4. Datentrager mit 

- einer Speichereinrichtung (110) zur Aufnahme 
von Funktions- und Anwendung sprogramraen, ei- 
ner Programmausfuhrungseinheit (20) zur Aus- 
fuhrung von in der Speichereinrichtung (110) ent- 45 
haltenen Funktionsprogrammen, 

- einer Dateniibertragungseinrichtung (60), 

- sowie einer als Funktionsprogranmi realisierten 
Laderschnittstelle (120) zum Laden von minde- 
stens einer das Nachladen eines weiteren Anwen- so 
dungsprogrammes ermdglichenden Ladeapplika- 
tion (210) in die Speichereinrichtung (110) Uber 
die Dateniibertragungseinrichtung (60), 

- wobei der Laderschnittstelle (120) in der Spei- 
chereinrichtung (110) ein Freispeicherraum (130) 55 
zur Aufnahme mindestens einer Ladeapplikation 
zugeordnet ist. 

5. Datentrager nach Anspruch 4, dadurch gekenn* 
zeichnet, daB eine in die Speichereinrichtung (110) auf- 
genommene Ladeapplikation (210) unabhangig von 60 
der Laderschnittstelle (120) einen Teil (220) des der 
Laderschnittstelle zugeordneten Freispeicherraums 
(130) konU-oUiert. 

6. Datenu-ager nach Anspruch 4, dadurch gekenn- 
zeichnet, daB die LadcappUkationcn (210) dazu ausgc- 65 
bildet sind, nachzuladene Anwendungsprogramme 
(330) wahrend des Ladens mit auf dem DatenUrager be- 
reits vorhandenen Anwendungs- und Funktionspro- 



grammen zu verbinden. 

7. DatenU-ager nach Anspruch 6, dadurch gekenn- 
zeichnet, daE eine Ladeapplikation (210) Beschran- 
kungen beinhaltet, welche die Verbindung eines neuzu- 
ladenden Anwendungsprogrammes (330) mit einem 
bereits vorhandenen (311, 320) verbieten. 

8. Verfahren zum Betreiben eines eine Speicherein- 
richtung zur Aufnahme von Funktions- und Anwen- 
dungsprogrammen, eine Programmausfuhrungseinheit 
zur Ausfuhrung von in der Speichereinrichtung enthal- 
tenen Funktions- und Anwendungsprogrammen, sowie 
eine Dateniibertragungseinrichtung aufweisenden Da- 
tentragers mit folgenden Schritten: 

- Ausriisten des Datentragers mit einem eine La- 
derschnittstelle (120, 210) realisierenden Funkti- 
onsprogranmi zum Nachladen von Anwendungs- 
programmen in die Speichereinrichtung, 

- Ausriisten des Datentragers mit einer Vcrwal- 
tungseinrichtung zum Zuleilen von AdreBraumen 
in der Speichereinrichtung (110) an nachgeladene 
Anwendungsprogramme, 

- Versehen der nachzuladenen Anwendungspro- 
gramme mit Ausweisen, welche eine Information 
uber die GroBe des fiir das Anwendungspro- 
grdimii benoliglen Speicherplatzes enthalten, 

- Auswerten des Ausweises beim Nachladen ei- 
nes Anwendungsprogrammes, und 

- Zuteilen eines auf die ermittelte GroBeninfor- 
mation abgestimmten AdreBraumes in der Spei- 
chereinrichtung (110) an das Anwendungspro- 
granun. 

9. Verfahren nach Anspruch 8, dadurch gekennzeich- 
net, daB der Ausweis weiterhin eine das Anwendungs- 
programm bezeichnende Information enthiilt. 

10. Verfahren nach Anspruch 8, dadurch gekennzeich- 
net, daB der Ausweis weiterhin eine Signatur zum 
Nachweis der Echtheit des Anwendungsprogrammes 
enthalt. 

11. Verfahren nach Anspruch 8, dadurch gekennzeich- 
net, daB die Ausweise vom Herausgeber des Datenura- 
gers ausgegeben werden. 

12. Datentrager mit einer Speichereinrichtung (110) 
zur Aufnahme von Funktions* und Anwendungspro- 
grammen, einer Programmausfuhrungseinheit (20) zur 
Ausftihrung von in der Speichereinrichtung enthalte- 
nen Funktionsprogrammen, einer Dateniibertragungs- 
einrichtung (60), sowie einer als Funktionsprogramm 
realisierten Laderschnittstelle (120, 210) zum Nachla- 
den von mindestens einem Anwendungsprogramm in 
die Speichereinrichtung iiber die Dateniibertragungs- 
einrichtung (60), wobei die Laderschnittstelle (120, 
210) Mittel zum Prufen eines Ausweises eines zu la- 
denden Anwendungsprogrammes aufweist und sie ei- 
nem zu ladenden Anwendungsprogramm entsprechend 
einer auf dem Ausweis enthaltenen GroBeninformation 
Speicherplatz in der Speichereinrichtung (110) zuteilt. 
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